Le confinement a transformé l’environnement des attaques DDoS

Informations mondiales sur les attaques DDoS de la couche réseau

V2ViLUltYWdlXzE5MjB4MTA4MHB4IGNvcHkgNC0xMDAuanBn

Le premier trimestre 2020 a connu un pic de trafic Internet. Est-ce également vrai pour les attaques DDoS de la couche réseau ?

Le premier trimestre 2020 a été marqué par un pic phénoménal du trafic Internet et du nombre d’attaques DDoS de la couche réseau. Avec le confinement mondial, Internet est devenu un outil indispensable pour le personnel travaillant à distance, pour la préservation des liens communautaires, pour l’éducation et les achats en ligne, pour la consultation des réseaux sociaux et pour les services sur Internet, tels que la livraison de nourriture et les jeux. Dans certains pays, le trafic web a augmenté jusqu’à 50 %. L’activité en ligne a augmenté, tout comme le nombre d’attaques DDoS de la couche réseau. L’intensification de l’activité en ligne éveille, chez les auteurs d’attaques DDoS, le goût du sang. Ils savent qu’une utilisation plus intensive d’Internet génère une augmentation des revenus par minute pour les entreprises en ligne.

Pendant les pics d’utilisation, les entreprises ont donc beaucoup plus à perdre. Aussi, pour les auteurs d’attaques, la tentation de lancer des attaques DDoS est encore plus motivante. ITIC (Information Technology Industry Council) estime que le coût moyen de l’arrêt d’un service est de 5 600 dollars par minute. Cela signifie qu’aujourd’hui, une attaque DDoS couronnée de succès peut entraîner, pour une entreprise, des temps d’arrêt coûtant jusqu’à 336 000 dollars par heure. En raison de l’augmentation du coût des temps d’arrêt, certaines organisations peuvent se montrer plus enclines à verser une rançon aux auteurs d’une attaque DDoS, afin qu’ils rétablissent le bon fonctionnement de leur infrastructure réseau ou leurs propriétés web.

Les attaques lancées pendant

le premier trimestre 2020 sont devenues moins vastes et plus rapides

La plupart des attaques de la couche réseau que nous avons observées pendant le premier trimestre 2020 étaient, en termes de mesures de débit binaire, des attaques de faible ampleur. 92 % des attaques étaient inférieures à 10 gigabits par seconde (Gb/s), contre 84 % au quatrième trimestre 2019. En termes de taux de transfert de paquets, la majorité des attaques n’excédait pas 1 million de paquets par seconde (p/s). Associé au débit binaire, ce taux indique qu’à cette période, les auteurs d’attaques mobilisaient leurs efforts et leurs ressources pour lancer des attaques de faible ampleur.

Parallèlement au taux de transfert de paquets et au débit binaire, la durée des attaques a également diminué. 79 % des attaques DDoS au premier trimestre 2020 ont duré de 30 à 60 minutes, comparées à des attaques qui ont parfois duré des jours entiers, voire des mois. Cela peut sembler être une bonne nouvelle, mais ce n’est pas le cas. Une théorie justifiant cette tendance au lancement d’attaques moins vastes et plus brèves est qu’il est désormais devenu plus facile et moins coûteux de lancer une attaque DDoS. En effet, les attaques par déni de service distribué sont désormais disponibles sous forme de service. Selon Kaspersky, dans les recoins les plus sombres d’Internet, 5 dollars suffisent à acheter une attaque d’une durée 5 minutes.

Les attaques de grande ampleur sont toujours d’actualité

Bien que la taille de la plupart des attaques observées au premier trimestre 2020 soit inférieure à 10 Gb/s, les attaques de plus grande ampleur demeuraient fréquentes. Au mois de mars, la plus importante attaque du premier trimestre a atteint un pic de plus de 550 Gb/s. À partir de mi-mars, Cloudflare a constaté une augmentation des attaques DDoS de grande ampleur ciblant les grandes entreprises. Ces attaques peuvent être l’œuvre d’acteurs de l’État-nation, d’hacktivistes ou de cybercriminels cherchant à perturber l’activité d’entreprises dont les employés travaillent à distance, dans le but d’exiger le versement de rançons. D’autres auteurs d’attaques peuvent tenter, dans une période difficile, de tirer profit de services publics vulnérables, tels que les réseaux d’électricité et les sites pétroliers.

Surveillance des vecteurs d’attaque

Le nombre moyen de vecteurs d’attaque par adresse IP et par jour utilisés lors des attaques DDoS est resté stable, à environ 1,4. Le nombre maximum observé de vecteurs d’attaque ciblant une adresse IP au cours d’une journée est de 10. Au cours du dernier trimestre, nous avons observé plus de 32 types de vecteurs d’attaque différents sur les couches 3 et 4 (L3/L4). Les attaques ACK (« acknowledgment signal ») ont constitué la majorité (55,8 %) des attaques lancées au premier trimestre, suivies des attaques SYN (« synchronize request »), à 14,4 %. En troisième position, Mirai (logiciel malveillant créant un botnet) représente toujours une part importante des attaques (13,5 %). Ensemble, les attaques DDoS SYN et ACK représentent plus de 70 % de tous les vecteurs d’attaques L3/L4 au premier trimestre.

Résumé des enseignements du premier trimestre 2020

  • En raison du confinement, l’utilisation d’Internet a augmenté de jusqu’à 50 % dans certains pays
  • L’utilisation plus intensive d’Internet dans le monde motive davantage d’attaques DDoS
  • Les attaques sont devenues moins vastes et plus brèves, peut-être parce qu’elles sont moins coûteuses et plus faciles à lancer
  • Les attaques de plus grande envergure visant les grandes entreprises demeurent encore fréquentes

Refermer la fenêtre d’opportunité des attaques DDoS

Les attaques DDoS étant plus omniprésentes qu’elles ne l’ont jamais été, toutes les entités en ligne du monde doivent établir une stratégie de sécurité garantissant la sécurité, la rapidité et la fiabilité de leurs réseaux, leurs applications et leurs sites web. Nous savons déjà quel peut être le coût, en termes de perte potentielle de revenus, d’une heure de déni de service.Alors, quelle est l’approche la plus rentable pour atteindre cet objectif à l’ère du tout connecté, où les entreprises doivent séparer rapidement le bon grain de l’ivraie – à savoir, différencier le trafic légitime du trafic indésirable ?Une méthode pour mitiger les attaques DDoS consiste à utiliser des boîtiers physiques qui analysent et filtrent le trafic sur site au périmètre du réseau. L’inconvénient de cette approche est que les attaques plus brèves nécessitent des tactiques de mitigation rapides, pouvant être déployées en 10 secondes ou moins. Or, de nombreux fournisseurs d’équipements patrimoniaux proposent des accords de niveau de service (ANS) avec un délai de mitigation pouvant atteindre 15 minutes.

Parmi les autres méthodes de mitigation des attaques DDoS figurent le réacheminement du trafic réseau par des centres de nettoyage de données, afin de filtrer le trafic malveillant et autoriser le trafic légitime. Cependant, de nombreuses attaques DDoS étant localisées, les centres de nettoyage de données ne sont pas une solution viable, car ils sont limités en nombre et dispersés géographiquement. Cette approche peut donc provoquer un « goulet d’étranglement », car le trafic doit être acheminé à destination et en provenance de ces centres.Un réseau dans le Cloud est la seule défense réellement viable contre les attaques DDoS sophistiquées actuelles. Il place la protection DDoS sur un plan de contrôle unique, à la périphérie du réseau, afin d’arrêter les attaques distribuées aussi près que possible de leur source. Ainsi, les serveurs d’origine restent sûrs et sécurisés, qu’ils soient situés sur place ou dans le Cloud. Cette protection unifiée à grande échelle des réseaux permet de tirer continuellement les enseignements de chaque attaque, tout en diffusant automatiquement les connaissances indispensables pour contrer l’attaque suivante. Elle offre par ailleurs une sécurité anti-DDoS performante pour l’ensemble de votre entreprise, sans grever les performances du réseau et des applications, ce qui peut avoir un impact négatif sur votre chiffre d’affaires.

Ces résultats proviennent du réseau Cloudflare, qui couvre plus de 200 villes dans plus de 100 pays et intercepte chaque jour plus de 76 milliards de cybermenaces. Grâce à sa vision inégalée à 360 degrés de l’environnement des menaces DDoS, Cloudflare est en mesure de collecter une vaste quantité de données concernant ces attaques omniprésentes, au fur et à mesure qu’elles évoluent.

Approfondissez ce sujet. Découvrez les 5 meilleures façons de vous défendre contre les attaques DDoS.

Cet article fait partie de notre série consacrée aux tendances et sujets d’actualité qui affectent les décideurs technologiques d’aujourd’hui.